BurpCrypto: 万能网站密码爆破测试工具
在Web渗透测试中有一个关键的测试项:密码爆破 。
目前越来越多的网站系统在登录接口中加入各式各样的加密算法 , 依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够 , 这里给大家介绍一款支持AES/RSA/DES(即将支持)加密算法 , 甚至可以直接将加密算法的js运行与BurpSuite中的插件:BurpCrypto 。
安装
BurpCrypto可从其官方Github页面进行下载已编译好的版本 , 或下载源代码本地编译 , 然后在BurpSuite的扩展列表中添加插件即可 。
使用方法
BurpCrypto安装完成后会在BurpSuite中添加一个名为BurpCrypto的选项卡 , 打开选项卡可进入不同加密方式的具体设置界面 。
AES加密
本文插图
常见的加密插件往往只提供一个Processor , 此插件设计了多Processor功能 , 可以添加多个Processor , 同时运行多个不同加密方式、不同密钥的测试器 。
本文插图
本文插图
在测试器中选择刚刚创建的Processor
本文插图
下面直接点击Start Attack即可 。
找的密文对应的明文
BurpSuite中有一个饱受诟病的问题 , 在测试器的测试结果中 , 无法显示原始Payload , 也就是字典内容 。
该插件具有内置数据库功能 , 只要是通过该插件生成的密文内容 , 都可以使用插件中提供的“Get PlainText”功能找回原始Payload 。
本文插图
本文插图
ExecJs功能
该插件对于不支持的加密算法也提供了一种变通方法 , 使用者可根据不同网站使用的加密方法提取其加密的核心函数 , 并将核心函数稍作加工即可加入本插件中使用 。
此处演示使用的是某网站使用的特殊版本的MD5算法 。
本文插图
本文插图
然后像AES模块一样添加Processor即可 , 使用方式也类似与AES模块 。
本文插图
本文插图
该插件的的官方Github为:https://github.com/whwlsfb/BurpCrypto
该插件为作者whw1sfb本人开发 , 欢迎各位同学使用测试 , 使用过程中遇到问题 , 可以私信【入群】跟我们一起讨论 。
本文作者:whw1sfb , 原文链接:https://www.freebuf.com/sectool/238272.html
我是安仔 , 一名刚入职网络安全圈的网安萌新 , 欢迎关注我 , 跟我一起成长;
【BurpCrypto: 万能网站密码爆破测试工具】小白入行网络安全、混迹安全行业找大咖 , 以及更多成长干货资料 , 欢迎关注#安界网人才培养计划#、#网络安全在我身边#、@安界人才培养计划 。
推荐阅读
- 上海虹口门户网站|上海市副市长赴虹口调研北外滩商业发展情况
- 快科技|阿里辟谣:不会高薪聘请黑阿里网站的人 直接交给警方
- 教育部网站|“神押题”“内部指标”“判卷内幕”?这些高考谣言别再信了
- 万能的大熊|从买家到玩家,淘宝“头号玩家”开启“玩淘宝”的新时代
- 万能的大熊|从买家到玩家,淘宝“头号玩家”开启“玩淘宝”的新时代联名游戏IP玩起来从“逛淘宝”到“玩淘宝”开启电商更多可能
- 中央纪委国家监委网站|买断抗病毒药物产能致他国断供 从美国优先到美国独霸
- 看看新闻网|女孩婚恋网站交"高富帅"男友 77万买房钱被骗走
- 中央纪委国家监委网站|干部挪用医保资金买足彩每天下注150万 两人被判刑
- 国家卫健委网站|2020年高考防疫家长该怎么做?国家卫健委发布10条关键提示
- 上海虹口门户网站|市文旅局领导至上海精武体育总会调研